如何能够最大化优化防火墙解决过载问题（下）-DOIT

No. 5:处理"广播交通"

如果防火墙接口是直接连接到LAN的区段，你应该创建一个无日志规则来处理"广播交通"（bootp NetBIOS TCP / IP等等）

No. 6:将经常使用的规则放在知识库顶层

将经常大量使用的规则放在知识库顶层。我们注意到一些防火墙（如Cisco Pix，ASA 版本7.0及以上，FWSM 4.0和部分Juniper Networks模型）的运行未依赖于规则命令因为他们使用优化算法相匹配的数据包。

No. 7:避免DNS对象

避免请求DNS查找的对象

No. 8:防火墙接口设置需与交换机及路由器设置匹配

你的防火墙接口应匹配你的路由器接口和/或交换机接口。如果路由器或交换机是半双工100M bps，你的防火墙也应当是半双工100M bps，或者最有可能都要是全双工100M bps。接口可能比较难以匹配。

路由器/交换机和防火墙双方应报告同样的速度和电路模式。如果交换机和防火墙都是千兆位以太网, 他们都应设置为自动协商速度和电路模式。如果交换机和防火墙的千兆接口不匹配，那么可以试试更换电缆和插线面板端口。千兆以太网接口如果没有连接到全双工1000M bps网络，通常是存在其他问题的标志。

No. 9:从VPN分离的防火墙

单独从VPN分离出防火墙卸下VPN的网络交通和进程。

No. 10:从防火墙卸下的特征

从防火墙卸下UTM特征包括杀毒,防恶意软件，入侵预防系统(IPS),和URL扫描。

No. 11: 升级到最新的软件版本

升级到最新的软件版本。一般说来,更新的版本包含了性能改进同时添加新的性能。

如何能够最大化优化防火墙解决过载问题（下）